YZM5604 Bilgi Güvenliği Yönetimi 14 Ekim 2014 - 3. Hafta Dr. Orhan Gökçöl Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü Bilgi Teknolojileri Yüksek Lisans Programı Ders ile İlgili Önemli Bilgiler Ders saatleri : Salı, 19:00-22:00 (Beşiktaş/DSC02) İletişim : Orhan Gökçöl Orhan.Gokcol@eng.bahcesehir.edu.tr 212 – 381 0 559 Ders Devamı : --- 1 Ders Kaynakları Ders Destek Web Sitesi : http://akademik.bahcesehir.edu.tr/~gokcol/yzm5604 -Duyurular ve Hertürlü İletişim -Ders Notları -Ödevler/Projeler -Sınav Sonuçları -Dersle İlgili Sizinle Paylaşacağım hemen herşey Ders Değerlendirme Yaklaşık 5.ci hafta civarında projeler dağıtılacak 2 Bilgi Güvenliği - Tanım Bilgi güvenliğinin amacı, işletmelerin donanım, yazılım, veri, her türlü bilgi gibi değerli kaynaklarını korumaktır. Bilgi güvenliğinin sağlanması, aslında işletmenin iş hedeflerine ulaşmak için yapması gereken bir «olmazsa olmazı» olarak da görülebilir. Bilgi güvenliği….. Herhangi bir sistemin geliştirilme ve kullanılma döngüsünde yer alan anahtar bir kısımdır: Sistem tasarımı Sistem geliştirme Sistem işletilmesi (operation) Sistemlerin devre dışı bırakılması Sistem kavramının en başında itibaren, bilgi güvenliği unsurlarının dahil edilmesi gerekir. Güvenlik teknolojilerinin kullanımı (firewalls, crypto, IDS(Intrusion Detection Systems), patching), güvenliğin sadece belli bir kısmıdır. Güvenlik büyük ölçüde, insan, süreçler ve teknolojiye (birlikte) bağlıdır. Bilgi güvenliği tek sefer yapılan ve sonrasında kendi haline terk edilen bir durum değildir. Bir süreçtir ve sürekli yönetilmesi gerekmektedir. İnsanlar (geliştiriciler, kullanıcılar, müşteriler, hacker-lar) –bazen bunu bilmeseler de- bilgi güvenliği sürecinin parçalarıdır. 3 Bilgi Güvenliği Nedir? Bilgi güvenliği, bu sebeple, bilgi ve onun kritik bileşenlerinin (bilginin depolandığı, kullanıldığı ve iletildiği sistemler ve donanımlar) korunması anlamına gelir. Fakat, bilginin ve ilişkili sistemlerin korunması; politika, farkındalıklık, eğitim ve teknoloji gibi unsurlara DA bağlıdır. Geçtiğimiz hafta gördüğümüz C.I.A. Üçgeni, geçmişten günümüze, bilgisayar ve bilgi güvenliği için bir endüstri standardı olmuştur. Zaman içinde, CIA üçgeni, bilginin diğer karakteristiklerini de içerecek şekilde genişlemiştir. C.I.A. Üçgeni Özellikler: CIA Confidentiality (Gizlilik): sadece izin verilenler bilgiyi «görebilir» Integrity (Tamlık): sadece izin verilenler bilgiyi düzeltme yetkisine sahiptir (oluşturma, düzeltme ve silme) Tamlığın sağlanması: bilginin (başkaları tarafından) değiştirilemeyeceğinin bilinmesi Tamlık ihlallerinin belirlenmesi: güvenilmeyen durumlar oluştuğunda alternatif kaynaklardan bilginin elde edilmesi (yedek diskler, yedek sunucular) Availability (Erişilebilirlik, Kullanılabilirlik) : ihtiyaç duyulduğunda, erişebilir olmak. 4 Bir organizasyonda neler korunmalı? Bir değere sahip herşey güvenlik altında olmalı/korunmalı. Tipik bir işletmenin değerli pek çok şeyi vardır. Bunlara «varlık» (asset) adını vereceğiz. Bu varlıklar, bazı servisler, süreçler, veri, fiziksel unsurlar vb olabilmektedir. Tüm varlıklar şu üç özelliği sağlamalıdır : C, I, A Varlık ve varlık değeri Nasıl belirlenir???..... Her varlığın bir değeri vardır… Confidentiality/Gizlilik açısından varlık değeri =>V1 Integrity/Bütünlük açısından varlık değeri =>V2 Availability/Kullanılabilirlik açısından varlık değeri =>V3 Max(V1,V2,V3) => Varlık değeri - Bu varlığın «Gizliliği» ihlal edilirse kaybım ne kadar olur? - Bu varlığın «Bütünlüğü» ihlal edilirse kaybım ne kadar olur? - Bu varlığın «Kullanılabilirliği» ihlal edilirse kaybım ne kadar olur? 5 Bilgi Güvenliği ve Bilgi Güvenliği Yönetimi Bilgi Güvenliği (BG), değer atfettiğimiz varlıklar için; kaybolma, hatalı kullanım, kullanılamama, hasar görme, ifşa edilme risklerine karşı aldığımız her türlü önlemleri ve eylemleri tanımlar. Bilgi Güvenliği Yönetimi (BGY), yukarıda tanımlanan riskleri yönetebilmek ve varlıkların C, I, A hassasiyetlerini makul sınırlar içinde tutabilmek için işletmenin uygulaması gereken her türlü (teknik, teknik olmayan) önlemleri (=kontrolleri) tanımladığımız sistematik bir yaklaşımdır. Bilgi Güvenliği Yönetim Sistemi (BGYS) : C, I ve A’yı sağlayabilmek ve etkin bir şekilde yönetebilmek için gereken yönetim becerilerinin oluşturulmasında kullanılacak bir sistemin tasarım ilkelerini ifade eder. Figure 1-6 – Balancing Security and Access Kullanıcı 1: Parolamı bu kadar sık değiştirmek zaman kaybı! BG Sorumlusu: Şifreleme zaman alır, ama gereklidir! Daha hızlı erişim istiyorum !!! Güvenlik Erişim Güvenlik ve Erişimin Dengelenmesi Principles of Information Security - Chapter 1 Slide 12 6 Internet ve Güvenlik? İnternet’in iletişim protokolleri ve teknik altyapısı ilk tasarlandığında, sanırım hiç kimse Hizmet Dışı Bırakma (HDB –Denial of Service –DoS) saldırılarını aklına getirmemiştir (1989 yılına kadar!!!!) Internetin ilk zamanlarında sadece birkaç tipte uygulama (dosya transferi, e-posta gibi) düşünülmüştü—hiç kimse e-ticaret, VoIP, IPTV, vb. gibi uygulamaları aklına bile getirmemişti! Sonuçta, internet güvenliği çok sonraları devreye alınan birtakım değişiklikler sonunda «konuşulabilir» hale geldi. 13 Örnek: E-posta… Tamamen/gerçekten gizli bir mesaj gönderebilir miyiz? Bir e-posta mesajını gerçekten kime gönderdiğimizi biliyor muyuz? Gönderdiğimiz mesajın aktarım sırasında değiştirilmediğinden emin olabilir miyiz? Gerçekten anonim/isimsiz bir mesaj gönderebilir miyiz? 7 Başka bir örnek: Online alışveriş Satıcıya verdiğiniz bilgilere (kredi kartı bilgileriniz ve diğer erişim kodları da dahil olmak üzere) online bir hırsız tarafından erişilemeyeceğinden emin miyiz? Gerçekten malı bize satan dükkana ödeme yaptığımıza nasıl emin olabiliriz? Tamamen isimsiz/anonim bir şekilde alışveriş yapabilir miyiz? İnternet üzerinden satın aldığınız bir ürün için, ödediğiniz parayı inkar edebilir misiniz? Dijital Dünya ve BG’nin Önemi Herkesin birbirine bağlı olduğu bir dünyada yaşıyoruz : Internet Virusler, trojanlar DoS Saldırıları Phising (Oltaya takılma) Sahtekarlık (Fraud) ...... Güvenliği sağlamak her zamankinden çok daha ZOR.. 8 En Temel BGY %100 güvenlik zaten amacımız değil! (Teraziyi hatırlayın!) Asıl amaç, VARLIKLARIMIZ üzerindeki olası riskleri hesaplayarak bunların ışığında güvenliği yönetmek VARLIKLARIMIZ Her varlık üzerinde aynı risk mi var ? Her varlık aynı değere mi sahip??? Şimdi güvenliği yönetmeye niyetlendik!! Varlıkları Koruma Sistemleri– Temel Unsurlar Varlıkları koruma, kuruluşun iş hedefleri, misyonu ve vizyonu ile uyumlu olmalı. Varlıkları koruma, işletmelerde gündelik olarak kendiliğinden yapılan bir eylem olmalı (farkındalıklık!- awareness) Varlıkları koruma yüksek maliyetli olmamalı Varlıkları korumada sorumluluklar ve hesap verilebilirlik unsurları açıkça yer almalı. (Bunlar daha çok politika dokümanlarıyla sağlanır). Sistem sahiplerinin, organizasyon dışında da bilgiyi koruma ile ilgili sorumlulukları olmalı! Varlıkları koruma unsurları, sistem geliştirme hayat döngüsünün ayrılmaz bir parçası olarak görülmeli. Varlıkları koruma süreçleri, dönemsel olarak kontrolden geçirilmeli ve değerlendirilmeli. Şirket kültürü yapılacak tüm bu işlerde çok belirleyici bir rol oynamaktadır. 9 Bilgi güvenliği – Bilgisayarlar olmadan önce de vardı!!! (Sezar şifrelemesi) Soru Gizli dinleme ve hattı izleme olması durumuna karşı mesaj güvenliğini nasıl sağlarız? Charlie Bob Kredi kartı numaramı veriyorum… plaintext Alice 10 Cevap : Sadece Alice ve Bob’un anlayabileceği bir dil kullanarak… - şifreleyici Charlie Nz dsfejr dbse ovncds jt… Bob ciphertext Alice Şifreleme Şifreleme (encryption), gönderilen mesajla birlikte başka bir yazıyı (anahtar) bir fonksiyona göndererek şifrelenmiş bir çıktı üretmektir Şifresi çözülmediği sürece, bu çıktı «anlaşılamaz» bir formatta olacakdır. Mesaj Şifreleme fonksiyonu 11 Çözümleme Çözümleme (decryption), şifreli mesajı bir anahtar ile başka bir fonksiyona göndererek başta şifrelenen mesajı yeniden üretme işlemidir. Çözümleme fonksiyonu Başlangıçtaki mesaj Sezar şifreleyicisi Harfler: ABCDEFGHIJKLMNOPQRSTUVWXYZ Şifre : DEFGHIJKLMNOPQRSTUVWXYZABC (Sezar bu yöntemi, generallerine gönderdiği mesajlarda kullanıyormuş!!!) 12 Bilgi Güvenliği – Kısa Tarihçe Bilgisayar güvenliği, ilk büyük boy bilgisayarlar (mainframe) ortaya çıktıktan hemen sonra başlamıştır 2. Dünya Savaşı’nda, şifre kırıcı algoritmalar geliştiren grupların çalışmalarının sonucunda günümüzün modern bilgisayarlarının mimarisi ve çalışma prensipleri ortaya çıkmıştır (örn. Alan Turing, - Turing Makinası) Bilgisayar sistemlerine sadece yetkili kişilerin giriş yapabilmelerini sağlamak için, kritik birimlerde (askeri bölgeler vb) fiziksel kontrol uygulanıyordu Tek düşünülern şey, fiziksel hırsızlık, sabotaj ve casusluğa karşı önmel almaktı. Figure 1-1 – The Enigma Alman kodlama makinesi : Enigma 13 1960lı yıllar ABD Savunma Bakanlığı’nın İleri Araştırmalar Projesi Ajansı (Department of Defense’s Advanced Research Project Agency (ARPA)), ağ temelli haberleşme yapısının olabilirliğini araştırmaya başladı (Bu projeyi başından itibaren Larry Roberts yürüttü-internetin Babası olarak da bilinir) Figure 1-2 - ARPANET 14 1970li ve and 80li yıllar ARPANET popüler bir şekilde büyüdü (tabii bu arada potansiyel kötü kullanımları da!) ARPANET’in güvenliği ile ilgili temel problemler ortaya çıktı. Bunlar; ARPANET’e telefonla (dial-up) bağlantılar için hiç bir güvenlik prosedürü yoktu Kullanıcı tanımlama ve sisteme yetkilendirme (giriş izni) konusunda eksiklikler vardı 1970’lerin sonlarında, mikro işlemcilerin kullanımları çok yaygınlaşmaya başladı bu da beraberinde güvenlik tehdit artışları getirdi. R-609 – Bilgisayar Güvenliği Çalışmalarının Başlangıcı Dünyada, bilgi Güvenliği çalışmalarının RAND’ın yayınladığı bir raporla (R-609) başladığı kabul edilebilir (1979). Bilgisayar güvenliği, fiziksel güvenliğe ek olarak şunları da kapsamaktadır: Veri güvenliği Veriye yetkisiz erişimlerin sınırlandırılması Organizasyondaki farklı seviyelerden kişilerin de sisteme dahil edilmesi 15 www.rand.org R-609 http://www.rand.org/pubs/reports/R609-1/R609.1.html 16 1990’lar Bilgisayar ağları çok yoğun olarak kullanılmaya başlandı, dolayısıyla farklı ağların birbirleriyle bağlantılı olması ihtiyacı ortaya çıktı. Bu da, bilgisayarlara ve bilgiye ulaşmak için onlara fiziksel temas etme ihtiyacını TAMAMEN ortadan kaldırdı. ARPANET, askeri/akademik ağ olmaktan çıkıp ticarileşti ve global bir ağ olan INTERNET (ağların ağı) doğdu Geliştirilen ilk internet uygulamalarında, güvenlik en düşük önceliğe sahip noktalardan biriydi Günümüz Günümüzde internet, milyonlarca bilgisayarı birbirine bağlayan ve birbirleriyle haberleşmesini sağlayan (bu bilgisayarların çok önemli bir kısmında güvenlik yok!!) bir haberleşme ağı İnternete bağlı bir bilgisayarın güvenliği, aslında o bilgisayarın iletişimde bulunduğu diğer bilgisayar(lar) ve iletişim ortamıyla da doğrudan ilgili... 17 Bilgi Güvenliği Nedir? Bir işletmede yer alan her türlü somut ve soyut varlığın ve bunlara ait kritik sistemlerin (bilgiyi saklayan, ileten ve kullanımını sağlayan donanımlar ve sistemler de dahil olmak üzere) korunması Politikalar ve prosedürler, BG konusunda duyarlı olmak, eğitim ve teknoloji kullanımıyla da, bilgi güvenliği belli ölçülerde tahsis edilebiliyor Güvenli sistemler İyi uygulamalar C.I.A üçgeni (C.I.A. triangle) bu konuda standarttı. Üç önemli bileşen : Gizlilik (Confidentiality), tamlık (Integrity), kullanılabilirlik (Availability) Bilgi Güvenliği? Bilgi Sisteminin özellikleri arasındadır. Sadece teknolojik altyapı olarak nitelendirilemez Bu özellikler, hem süreçlerle hem de teknolojilerle sağlanacaktır Özellikler: CIA Gizlilik/Mahremiyet (Confidentiality): sadece “izin verilen kişi/unsur”lar bilgiyi görebilir Bütünlük/Tamlık/Doğruluk (Integrity): sadece izin verilen “kişi/unsur”lar bilgiyi değiştirebilir (bilgi oluşturma ve silme de dahil) Kullanılabilirlik (Availability): ihtiyaç duyulduğunda bilgi hazırdır, kullanılabilir CIA daha sonra bilginin kritik bileşenlerini de kapsayacak şekilde genişletilmiş olarak kullanıldı. Mainframe zamanından kalma!! 18 Bilginin Kritik Karakteristikleri Sahip olunan bilginin değeri, bilginin içerdiği birtakım karakteristiklerle ölçülür: Kullanılabilirlik (Availability) Hassasiyet/Doğruluk (Accuracy) Orijinallik (Authenticity) Gizlilik (Confidentiality) Tamlık (Integrity) İşe yararlık (Utility) Sahip olma (Possession) C I A Bilgi Güvenliği teknik konuları olduğu kadar, yönetimsel unsurları da içermektedir Güvenlik politikaları geliştirilmeli, kullanılması sağlanmalı, yaşatılmalı ve yaptırım gücü olmalı Process Technology (Süreç) Politikaların nasıl uygulanacağını gösteren iş süreçleri geliştirilmelidir. Tüm sistemler, güvenlik politikaları ile uyumlu olacak şekilde geliştirilmelidir (Teknoloji) Human (İnsan) Çalışanlar, politikalarda tanımlanan sorumluluklarını anlamalıdır. 19 Örnek: parola kullanım politikası -parolaların nasıl sıfırlanacağı ile ilgili süreç tanımı, - parolaların en az 8 karakter olduğunu denetleyecek bir sistemin geliştirilmesi, - parolalarını başkalarıyla paylaşmamaları gerektiğini anlayan kullanıcılar Politika uygulamaları; kullanımda olan süreçlere, politikalarla uyumlu çalışan ve zorlayıcı yanı bulunan teknolojik çözümlere, ve kullanıcının politika gereksinimlerini ve kendi sorumluluklarını iyi bir şekilde anlamasına bağlıdır. Güvenlik ve Erişimin Dengelenmesi Mükemmel bir güvenlik tesis etmek imkansızdır – güvenlik mutlak bir kavram değildir; bir süreçtir Güvenlik, koruma ve kullanıma hazır olma durumu arasında bir “denge” hali olarak düşünülmeli Dengeyi sağlamak için, sistemin güvenlik seviyesi makul düzeyde bir erişime izin verirken aynı zamanda saldırılara karşı da koruma sağlamalı. 20 Aşağıdan-Yukarı Yaklaşımı Güvenlik, sadece sistem yöneticileri tarafından sağlanmaya çalışılır... (grass-roots effort) Temel avantaj – bu işle uğraşan her yöneticinin teknik bilgisi var ve yanlış birşey yapılması olasılığı az Bu yöntem nadiren çalışır... Çünkü; Diğer çalışanların desteği/katkısı yok Tüm organizasyon sadece alt seviye teknisyenler/teknik kişilerce kontrol ediliyor, bunun zorlukları var. Bilgi erişimi tam bir işlence olabilir. Organizasyonel ihtiyaçların göz ardı edilmesi olasılığı var (üst yönetim planlamaya katılmıyor) Yukarıdan-Aşağıya Yaklaşım Üst yönetim tarafından yapılır: Politikalar, prosedürler ve süreçler modellenir (örn. iso 27001) Hedefler ve süreçlerden, projelerden beklenen çıktılar belirlenir, (dikte edilir!) Gereken her aksiyon için kimin sorumlu olduğu saptanır Böyle bir yaklaşımın doğal olarak üst yönetimden çok kuvvetli bir desteği olacaktır. Finansal kaynaklar, planlama, şirket kültürüne etkiler vb çok kolay modellenebilmekte/ olabilmektedir Bilgi Güvenliği oluşturulması standart bir sistem geliştirme stratejisi kapsamında da modellenebilir (sistem geliştirme hayat döngüsü) En başarılı yaklaşım budur. 21 Figure 1-7 – Approaches to Security Implementation BGY süreçlerinde kimler çalışır? Ne gibi BG-ilişkili pozisyonlar var? 22 BG Uygulamasının Planlanması CIO (Chief Information Officer) ve CISO (Chief Information Security Officer) stratejik planların taktiksel ve operasyonel bilgi güvenliği planlarına dönüştürülmesinde önemli rol oynarlar CISO planlama detaylarında, CIO’ya göre daha fazla yer alacaktır. CIO : Üst düzey yönetici. GMY’lerden birisi olabilir (BT’den sorumlu GMY ?) CISO : CIO’ya bağlı çalışan bir pozisyon Başka ne gibi pozisyonlar olabilir? CISO İş Tanımı Şirketteki stratejik bilgi güvenliği planını, gelecek vizyonunu da düşünerek hazırlar Şirkette yapılan temel iş faaliyetlerini bilir ve tamamıyla anlar Böylece, bu aktivitelerle ilişkili bilgi güvenliği çözümleri önerebilir… Şirketteki BG durumunu daha iyiye götürmek amacıyla; aksiyon planları, çizelgeler, bütçeler, durum raporları ve benzeri üst yönetim bilgilendirmeleri hazırlar. 23 Sistem Geliştirme Hayat Döngüsü (SDLC) (System Development Life Cycle) SDLC: bir bilgi yönetim sistemi için tasarım ve uygulama metodolojisi/yaklaşımı SDLC-tabanlı projeler planlı olabileceği gibi, bir ihlal (event, security incident) olduğu zaman da gündeme gelebilmektedir. Her fazın sonunda genel bir değerlendirme yapılmaktadır. Böylece projenin durumu hakkında (devam/bırakalım/dışarıya yaptıralım/erteleyelim gibi) karar verilmektedir. Feasibility (Yapılabilirlik) Evet! Yeterli yerimiz ve donanımımız var ! Rapor 1 M$ değerinde stratejik bir adım atmamızı içeriyor! Yapabilir miyiz? Hayır, daha önce buna benzer bir şeyi hiç yapmadık! Hayır! Kullanıcılar yeni tasarıma direneceklerdir! Evet! 14 ayda kendini amorti eder! FİZİBİLİTE (YAPILABİLİRLİK) ANALİZİ 24 Sistem Geliştirme Hayat Döngüsü (SDLC – System Development Life Cycle) Bilgi güvenliği, diğer ana sistem implementasyonlarına benzer bir yapıda yönetilmelidir. Bir metodoloji kullanılması Süreç yaklaşımı Eksik/kayıp adımların oluşması olasılığı yok Hedef, çok etkin ve yaygın kullanımlı bir bilgi güvenliği programıoluşturmak Figure 1-8 – SDLC Waterfall Sistem Analizi Methodology Sistem Tasarımı Sistem Geliştirme Hayat Döngüsü – Şelale Metodolojisi 25 SDLC Fazları 1. Investigation - İrdeleme İki temel iş yapılıyor Gereksinimlerin ortaya çıkartılması Kapsamın belirlenmesi, hangi gereksinimin önceliği ne? Maliyet/fayda (Cost/benefit) analizi Bu faz, iş analizi gibi de düşünülebilir. Mevcut kaynakların yetip yetmeyeceği belirlenir. Buna göre geliştirmeye devam edilir ya da edilmez!. Sistemin geliştirilmesi ya da geliştirilmemesi ile ilgili gerekçeler ortaya konur SDLC Analiz Mevcut sistemin analizi Gereksinimlerin belirlenmesi Mevcut sistem Gereksinimlerin yapısal bir şekilde listelenmesi (aynı-benzer olanlar birleştirilir vb) Alternatif tasarımların/çözümlerin ortaya konması Alternatiflerin karşılaştırılması En iyi alternatifin önerilmesi 26 SDLC Tasarım Mantıksal (Logical)Tasarım Fiziksel Tasarım Sistemin daha çok iş (business) gereksinimlerini nasıl karşılayacağına ağırlık verir Sistemle ilgili teknik spesifikasyonlar Gerçekleştirme - implementation Gerçekleştirme Yazılım ve donanım kurulumları Programlama Kullanıcı eğitimleri Dokümantasyon SDLC Bakım Değişen koşullara göre sistemde olabilecek değişiklikler Eskiyen sistemin devreden çıkartılması SDLC’de her aşamada yapılanların dokümante edilmesi / raporlanması ve bir proje planına göre hareket edilmesi yararlı olacaktır. 27 SDLC ve SecSDLC (Security SDLC) SecSDLC : Olay tabanlı – oluşan bazı olaylara cevap olarak başlar ya da Planlama tabanlı – dikkatli bir şekilde geliştirilen bir stratejinin uygulamasıdır Her faz sonrasında tüm yapıyla ilgili genel gözden geçirmeler yapılır Bilgi Güvenliği Sistemleri Geliştirme Hayat Döngüsü (SecSDLC) Bilgi Güvenliği projesinin uygulanmasında Geleneksel Sistem Geliştirme Hayat Döngüsü ile aynı fazlar kullanılabilir Temel süreç tehditlerin tanımlanması ve berteraf edilmesi için yapılacak kontrollerin belirlenmesidir 28 Güvenlik – Sistem Geliştirme Hayat Döngüsü Bazı spesifik noktalarda farklılıklar olsa da genel metodoloji Sistem Geliştirme Hayat Döngüsü’ne benzer SecSDLC süreçleri şunları içerir : Belli başlı tehditlerin ve bunlarla ilgili risklerin tanımlanması Bu tehditlerden korunmak için gereken spesifik kontrollerin tasarımı ve uygulamaya konulması; böylece risklerin yönetilerek organizasyon için bir tehdit olmaktan çıkartılması. Phases of An SDLC 29 Investigation in the SecSDLC (İrdeleme) Genellikle üst yönetimden gelecek bir direktifle başlayan bir süreçtir. Proje ile ilgili girdileri çıktılar, hedefler ve bütçe belirlenir. Sıklıkla yapılan ilk işlerden birisi güvenlik politikalarının oluşturulmasıdır. Takımlar oluşturularak problemler analiz edilir, kapsam belirlenir, hedefler ortaya konulur ve kısıtlar tanımlanır. Fizibilite analizi yapılarak kurumun güvenlik altyapı analizi ve bilgi güvenliği yönetimi sistemi kurabilmesi için gereken kaynaklarının olup olmadığı belirlenir. Güvenlik Politikaları hakkında daha sonra çok detaylı konuşacağız Analysis in the SecSDLC (Analiz) Kurumda (varsa) mevcut politikalar ve kontroller incelenerek bilinen tehditlere ne derece karşı koyabildiği ortaya çıkartılır. Bilgi Güvenliği çözümünü etkileyebilecek yasal hususlar ile ilgili bir analiz yapılır. Risk yönetimi bu adımda başlayacaktır. Yasal hususlarla ilgili ek bilgileri daha sonraki haftalarda vereceğim. 30 Risk Yönetimi Risk Yönetimi: Şirketin karşı karşıya olduğu risk seviyelerinin tanımlanması, büyüklüklerinin belirlenmesi ve değerlendirilmesi Risk Analizi Hakkında daha sonra Çok detaylı konuşacağız Özellikle, şirketin sahip olduğu ve süreçlerinde kullandığı her türlü varlık/bilgi varlığı Analiz fazını daha iyi anlamak için, şirketin karşı karşıya bulunduğu tehdit türlerini bilmemiz gerekmektedir. Tehdit dendiğinde; şirketin sahip olduğu bir varlığa tehdit oluşturabilecek herhangi bir yapı (insan, süreç, bilgisayar programı vb) anlaşılmalıdır. Bazı Tanımlar : Attack (Saldırı): Çeşitli açıkları/zaafiyetleri (vulnerability) kullanarak (exploit), kontrollü bir sistemi riske atacak şekilde kullanılabilecek her türlü eylem Şirketin bilgi ya da fiziksel varlıklarını çalma kabiliyetine sahip bir yapı Vulnerability (Zaafiyet): Kontrollü olması gereken bir sistemde, gerekli kontrollerin olmadığı/ yapılmasının unutulduğu her türlü durum 31 BG Tehditlerine bazı örnekler Tehdit Kategorisi Örnekler İnsan kaynaklı olaylar/hatalar/kazalar Entelektüel haklara olan tehdit Planlı bilgi gaspı (extortion) Planlı hırsızlık (deliberate acts of theft) Doğal olaylar Donanım sistemlerindeki hatalar Yazılım sistemlerindeki hatalar BT sistemlerine karşı, bilinen bazı saldırı türleri Kötü niyetli kod Kandırma (hoax) Arka kapı (backdoor) Password crack Brute force Dictionary Denial-of-service (DoS) and distributed denial-ofservice (DDoS) Sahte e-posta Man-in-the-middle Spam Mail bombing Sniffer Social engineering 32 Risk Yönetimi Varlık Yönetimi (Asset Management) Hakkında daha sonra Çok detaylı konuşacağız Her bir tehditle ilgili riskleri önceliklendirmek için bazı yöntemler kullanılmaktadır. Riskleri yönetmek için, tüm varlıklar tanımlanmalı ve değerleri belirlenmelidir. Risk değerlendirme yaparak, varlıklarımız üzerindeki riskleri karşılaştırma olanağı buluruz. Risk yönetimi, bir kuruluştaki varlıkların açıklıklarını tanımlar ve olası tehditleri dikkate alarak, C, I ve A’yı tesis etmek için atılması gereken tüm adımları belirler. SecSDLC Tasarımı Tasarım aslında iki ayrı fazdan oluşmaktadır: Mantıksal tasarım fazı: takım üyeleri bir plan geliştirir ve temel politikaları inceler, geliştirir. Fiziksel tasarım fazı: takım üyeleri, planı uygulamak için gereken teknolojileri değerlendirir, alternatif çözümler üretir ve bir final tasarım üzerinde karar kılınır. 33 Güvenlik Modelleri BG yöneticileri, sıklıkla, BG tasarımında hali hazırda bilinen, denenmiş modelleri kullanırlar. Bu modeller, BG ile ilgili bilinen bütün unsurları kapsayan bir çerçeve sunmaktadırlar. İşletmeler, kendi güvenlik ihtiyaçlarını karşılayacak bir çerçeveyi kolayca adapte edebilirler. Politika (Policy) BG çerçevesinin kritik elemanlarından birisi «BG Poltikası»dır Yönetim, üç tip BG politikası tanımlamalıdır: Genel politikalar; Konu-spesifik politikalar Sistem-spesifik politikalar Güvenlik Politikalarını gelecek hafta göreceğiz 34 BG Eğitimleri BG programının ayrılmaz bir parçası da bilgi güvenliği konularında vereceğimiz eğitimler ve bilgilendirmelerdir Bu tip programlarda üç ana kısım bulunur: BG bilgilendirmeleri, BG eğitimleri, ve BG farkındalık oluşturma BG Eğitimleri sonunda: Improving awareness (Farkındalığın arttırılması) Developing skills and knowledge (Becerilerin ve konu hakkındaki bilgilerin geliştirilmesi) Building in-depth knowledge (Daha derin bir bilgi altyapısı oluşturulması) hedeflenmektedir. Design – Risklere karşı gerçekleştireceğimiz koruma kontrollerinin tasarımı Tehdit ve saldırı risklerine karşı alacağımız her türlü koruma tedbirlerine «kontrol» adını vereceğiz. Kontroller 3 grupta toplanabilir: Yönetimsel Operasyonel Teknik 35 Yönetimsel Kontroller Güvenlik planlama süreçleri ve güvenlik programının yönetiminin tasarım ve uygulamaları ile ilgili hususları kapsar Yönetimsel kontroller ayrıca: Risk yönetimi BG kontrolleri gözden geçirme hususlarını kapsar. Risk Yönetimi Hakkında daha sonra geniş olarak konuşacağız Operasyonel Kontroller Daha alt seviyelerdeki yönetimsel fonksiyonları kapsar. Söz gelimi, Felaket durumlarından kurtulma (Disaster recovery) İhlal olaylarına karşı koyma planlaması (Incident response planning) Operasyonel kontroller aynı zamanda şunları da kapsar: Personel güvenliği Fiziksel güvenlik Üretim girdi ve çıktılarının korunması (operasyonel güvenlik) Bu kavramları daha sonra göreceğiz 36 Teknik Kontroller Bilgiyi korumak için kullanabileceğimiz teknolojiler (firewall, anti virus, ağ yapılanması, vb) Contingency Planning (Acil durum/ Beklenmedik durum planlaması) Şirketi tehdit eden çeşitli durumlar gerçekleştiğinde (felaket durumu), karşı bir eyleme geçmek ve bir an önce eski duruma geri dönmek ile ilgili planlama ve hazırlık dokümanları ve çalışmaları: İhlal olaylarına karşılık verme planlaması (Incident response planning (IRP) ) Felaketten kurtulma planlaması (Disaster Recovery Planning) (DRP) İş sürekliliği planlaması (Business continuity planning (BCP)) Bu kavramları daha sonra geniş olarak göreceğiz 37 Fiziksel Güvenlik Fiziksel Güvenlik: Şirketin fiziki kaynaklarını korumak için gereken karşı tedbirlerin tasarım, uygulama ve bakımları ile ilgilidir. Bazı fiziki kaynaklar: İnsan Donanım Destek servisleri Fiziksel Güvenliği daha sonra geniş olarak göreceğiz SecSDLC’nin Uygulanması BG çözümleri belirlenir, elde edilir, test edilir, uygulanır, ve yeniden test edilir. Personel ile ilgili (çalışanlar, müşteriler, ortaklar) konular belirli eğitim programları düzenlenerek halledilmelidir Uygulama fazındaki en önemli unsur proje planıdır: Proje planını oluşturmak İş paketlerini ve proje adımlarını yönetmek, Projeyi toparlayıp bitirmek 38 BG Proje Takımı Bir/birden fazla teknik ve teknik olmayan konularda deneyimi olan kişilerden oluşmalıdır. Proje takımında yer alan kişiler aşağıdaki şekilde sınıflandırılabilir: Champion/Şampiyon Team leader/Takım Lideri Security policy developers/BG Politikası geliştiricisi Risk assessment specialists/Risk değerlendirme uzmanı Security professionals/BG uzmanı Systems administrators/BG yöneticisi End users/Son kullanıcı BG Profesyonelleri BG ile ilgili konularda, farklı isimlerle anılan profesyoneller yer almaktadır. Bunlardan bazıları: Chief Information Officer (CIO) Chief Information Security Officer (CISO) Security Managers/Güvenlik Yöneticisi Security Technicians/Güvenlik Teknisyeni Asset Owners/Varlık Sahibi Asset Custodians/Varlık Koruyucusu Asset Users/Varlık Kullanıcısı 39 Çeşitli BG sertifikaları Çoğu kuruluş, BGY çalışmaları sırasında kullanabileceği kişilerin/çalışanlarının sertifikalı olmasını ister. Böylece yapılacak işlerde çok daha olay bir biçimde profesyonellik sağlanmış olacaktır: CISSP – Certified Information Systems Security Professional SSCP - Systems Security Certified Practitioner GIAC – Global Information Assurance Certification SCP – Security Certificate Professional ICSA – Certification for Commercial Security Products Security + CISM – Certified Information Security Manager SecSDLC Bakım ve İyileştirme BG programı uygulamaya geçtikten sonra, İşletilmeli, Yönetilmeli Hazırlanan bazı yönergeleri kullanarak güncel tutulmalıdır Eğer program, şirket iç ve dış ortamlarındaki değişikliklere uygun şekilde adapte edilemezse, bir süre sonra herşeyi en başından yapmak ve döngüyü yeniden başlatmak gerekebilir 40 Bakım Modeli Sistem yönetimi, geliştirilen yapıyı yönetme ve işletme amacını taşır. Bakım modeli ise, sistemin sağlıklı işleyip işlemediği ve karşılaşılan olumsuzluklar karşısındaki tutumları modeller: Dış denetim İç denetim Risk değerlendirme Zaafiyetlerin belirlenmesi ve ortadan kaldırılması Hazır olma durumu Zaafiyetlerin değerlendirilmesi 41 Bilgi Güvenliği Programı Yönetimi BG programı oluşturulduktan sonra işletilmeli ve yönetilmelidir. İşletmelerdeki BG programlarının çalıştırılması için, formal bir yönetim standardı kullanmak çoğunlukla işleri kolaylaştırır. ISO27001 NIST COBIT ??? Üst Yönetim - Senior Management Chief Information Officer /Müdür yardımcısı? the senior technology officer primarily responsible for advising the senior executive(s) for strategic planning Chief Information Security Officer responsible for the assessment, management, and implementation of securing the information in the organization may also be referred to as the Manager for Security, the Security Administrator, or a similar title 42 Bilgi Güvenliği: Bir sanat mı? Yoksa bilim mi? Günümüz Bilgi Sistemlerinin karmaşıklığı göz önüna alındığında, BG’nin uygulanması sıklıkla bilim ve sanatın bir karışımı olarak değerlendirilmektedir. Sanat olarak Güvenlik Keskin ve hızlı işleyen kurallarımız ne yazık ki yok. Evrensel olarak kabul gören, her koşulda doğru çalışan kurallardan da söz etmek zor Tüm sistem için sihirli bir el kitabımız yok Kullanıcılar, geliştirilen politikalar ve teknolojik kontroller arasında oldukça karmaşık bir ilişki söz konusu 43 Bilim olarak Güvenlik Yüksek seviyeli bir performans elde etmek için teknolojik çözümlere odaklanmak gereklidir Hemen hemen her türlü hata, güvenlik açığı ve hatalı program, yazılım ve donanımın birbiriyle etkileşimi ile ortaya çıkar Eğer geliştiricilerin yeterli zamanı olsa, tüm bu hataları çözebilir ve elemine edebilirlerdi. Sosyal Bilimler açısından Güvenlik Sosyal bilimler, sistemlerle etkileşen bireylerin davranışlarını inceler Güvenlik her zaman, sistemle etkileşim içinde olan insanlarla başlar ve biter Son kullanıcılar muhtemelen zincirin en zayıf halkalarıdır. BG yöneticileri çoğu durumda son kullanıcılardan kaynaklanan riskleri azaltabilir ve daha kabul edilebilir güvenlik progilleri oluşturabilirler. 44 C.I.A. Üçgeni QUIZ Özellikler: CIA Confidentiality (Gizlilik): sadece izin verilenler bilgiyi «görebilir» Integrity (Tamlık): sadece izin verilenler bilgiyi düzeltme yetkisine sahiptir (oluşturma, düzeltme ve silme) Tamlığın sağlanması: bilginin (başkaları tarafından) değiştirilemeyeceğinin bilinmesi Tamlık ihlallerinin belirlenmesi: güvenilmeyen durumlar oluştuğunda alternatif kaynaklardan bilginin elde edilmesi (yedek diskler, yedek sunucular) Availability (Erişilebilirlik, Kullanılabilirlik) : bilginin, ihtiyaç duyulduğunda, erişilebilir olması. 45
© Copyright 2024 Paperzz